安全運(yùn)營(yíng)中心SOC實(shí)施經(jīng)驗(yàn)分享一、平臺(tái)介紹

二、實(shí)施經(jīng)驗(yàn)分享三、項(xiàng)目案例分享

四、安永簡(jiǎn)介

目錄SOC介紹1什么是SOC？從名稱上來看：S->Security（安全），即SOC處理的事件或流程應(yīng)該是與企業(yè)網(wǎng)絡(luò)安全相關(guān)的；O->Operation（運(yùn)營(yíng)），代表著一種動(dòng)態(tài)的動(dòng)作，包括但不限于實(shí)時(shí)的檢測(cè)和響應(yīng)；C->Center（中心），體系化的建設(shè)，多領(lǐng)域安全產(chǎn)品、服務(wù)“疊加”而成的綜合防線。安全運(yùn)營(yíng)中心（SOC）：面向全網(wǎng)IT資源的集中化安全管理平臺(tái)，集預(yù)警，保護(hù)，監(jiān)控，響應(yīng)和分析等控制于一體，并形成標(biāo)準(zhǔn)化的流程管理，實(shí)現(xiàn)持續(xù)的安全運(yùn)營(yíng)。SOC的核心功能主要優(yōu)勢(shì)企業(yè)SOC構(gòu)建信息安全新防務(wù)——主動(dòng)防御與感知告警分析攻擊鏈圖譜威脅分析數(shù)據(jù)分析健康狀態(tài)7*24監(jiān)控7*24響應(yīng)響應(yīng)機(jī)制情報(bào)分析圖形化界面………數(shù)據(jù)源匯集數(shù)據(jù)源過濾SOC工具Database防火墻服務(wù)器路由交換數(shù)據(jù)庫(kù)入侵檢測(cè)漏洞掃描病毒防御關(guān)鍵應(yīng)用訪問控制域名解析云資源………SOC團(tuán)隊(duì)信息安全運(yùn)營(yíng)為導(dǎo)向的防御機(jī)制機(jī)制

集中管控響應(yīng)迅速情報(bào)分析威脅視圖技術(shù)海量數(shù)據(jù)分析智能監(jiān)控威脅建模攻擊鏈圖譜人員權(quán)值集中管理集中提高人員利用率實(shí)時(shí)響應(yīng)安全防御望遠(yuǎn)鏡企業(yè)信息系統(tǒng)外部威脅APT攻擊勒索軟件釣魚攻擊0day漏洞惡意郵件………Ddos攻擊SQL注入XSS索引任何的機(jī)器數(shù)據(jù)WindowsRegistryEventlogsFilesystemsysinternalsLinux/UnixConfigurationsSyslogFilesystemPs,iostat,topVirtualizationHypervisorGuestOSGuestAppsApplicationsWeblogsLog4J,JMS,JMX.NETeventsCodeandscriptsDatabasesConfigurationsAudit/querylogsTablesSchemasNetworkConfigurationssyslogSNMPnetflowSOC工具基礎(chǔ)框架實(shí)時(shí)從日志文件獲取事件運(yùn)行腳本獲取系統(tǒng)參數(shù)，連接到API和數(shù)據(jù)庫(kù)監(jiān)聽syslog或獲取Windows事件通用方式索引任何內(nèi)容格式的數(shù)據(jù),不需要連接器SOC工具指標(biāo)分析平臺(tái)事件按管理域分類：訪問控制管理病毒防護(hù)管理運(yùn)維操作管理數(shù)據(jù)保護(hù)管理網(wǎng)絡(luò)安全管理攻擊防護(hù)管理備份恢復(fù)管理等安全事件部門排名：研發(fā)一部網(wǎng)絡(luò)部銷售部等資產(chǎn)安全事件狀態(tài)：地域物理位置網(wǎng)絡(luò)區(qū)域終端時(shí)間趨勢(shì)圖：安全事件等指標(biāo)分析平臺(tái)可定制主界面指標(biāo)分析平臺(tái)數(shù)據(jù)保護(hù)管理總覽界面SOC工具指標(biāo)分析平臺(tái)該管理域下相關(guān)指標(biāo)時(shí)間趨勢(shì)該管理域下需要關(guān)注的風(fēng)險(xiǎn)點(diǎn)：部門涉及的文件……相關(guān)安全事件狀態(tài)：級(jí)別嚴(yán)重性處理狀態(tài)時(shí)間SOC工具指標(biāo)分析平臺(tái)指標(biāo)分析平臺(tái)運(yùn)維操作管理指標(biāo)界面3.指標(biāo)說明和解釋，以及該指標(biāo)采用的數(shù)據(jù)來源1.時(shí)間篩選框，可以針對(duì)整個(gè)頁(yè)面進(jìn)行不同時(shí)間的篩選，默認(rèn)隱藏

2.該二級(jí)管理域下的詳細(xì)指標(biāo)，鼠標(biāo)點(diǎn)擊可以進(jìn)行切換4.該指標(biāo)的可視化展示，從不同維度進(jìn)行分析，方便直觀5.需要關(guān)注的數(shù)據(jù)源詳細(xì)信息，包含發(fā)生時(shí)間、登入IP、賬戶、操作命令等等SOC建設(shè)實(shí)例分享一信息破壞事件（IDI）篡改事件（IAI）信息假冒事件（IMI）信息泄露事件（ILEI）信息竊取事件（III）信息丟失事件（ILOI）其他信息破壞事件（OIDI）現(xiàn)象

大量涉密信息通過郵件外發(fā)，主要為單一賬號(hào)所為。初步分析

賬號(hào)被盜用，或內(nèi)部員工泄露數(shù)據(jù)采取措施

聯(lián)系該賬號(hào)責(zé)任人，詢問郵件發(fā)送業(yè)務(wù)場(chǎng)景。進(jìn)行安全意識(shí)教育。事件分析與處置SOC建設(shè)實(shí)例分享二信息破壞事件（IDI）篡改事件（IAI）信息假冒事件（IMI）信息泄露事件（ILEI）信息竊取事件（III）信息丟失事件（ILOI）其他信息破壞事件（OIDI）現(xiàn)象

同一VPN賬號(hào)短時(shí)間內(nèi)在不同國(guó)家地理位置登錄成功初步分析

VPN賬號(hào)被盜用，或賬號(hào)共享給他人。采取措施

聯(lián)系該賬號(hào)責(zé)任人，詢問是否有共享賬號(hào)給他人。要求其修改密碼事件分析與處置SOC建設(shè)實(shí)例分享三有害程序事件（MI）計(jì)算機(jī)病毒事件（CVI）蠕蟲事件（WI）木馬事件（THI）混合攻擊程序代碼（BAI）網(wǎng)頁(yè)內(nèi)嵌惡意代碼事件（WBPI）其他有害程序事件（OMI）現(xiàn)象

2臺(tái)主機(jī)短時(shí)間內(nèi)被病毒大量感染。初步分析

可能存在：a)該兩臺(tái)主機(jī)防病毒軟件工作不正常，無法查殺病毒，或b)防病毒軟件無法清除感染源采取措施

對(duì)該兩臺(tái)主機(jī)設(shè)備進(jìn)行現(xiàn)場(chǎng)檢查，獲取殺毒廠商支持，徹底清除病毒事件分析與處置SOC建設(shè)實(shí)例分享四網(wǎng)絡(luò)攻擊事件（NAI）拒絕服務(wù)攻擊事件（DOSAI）僵尸網(wǎng)絡(luò)事件（BI）后門攻擊事件（BDAI）漏洞攻擊事件（VAI）網(wǎng)絡(luò)掃描竊聽事件（NSEI）網(wǎng)絡(luò)釣魚事件（PI）干擾事件（II）其他網(wǎng)絡(luò)攻擊事件（ONAI）現(xiàn)象

重要服務(wù)器短時(shí)間（2小時(shí)）內(nèi)遭受多次漏洞攻擊。初步分析

a)防火墻未能對(duì)攻擊源進(jìn)行攔截，b)內(nèi)部服務(wù)器可能未及時(shí)部署相關(guān)補(bǔ)丁。采取措施

將攻擊源IP地址列入防火墻黑名單；督促相關(guān)服務(wù)器負(fù)責(zé)人盡快修復(fù)漏洞。事件分析與處置SOC實(shí)施經(jīng)驗(yàn)分享2項(xiàng)目實(shí)施方法 SOC架構(gòu)安全運(yùn)營(yíng)中心預(yù)先報(bào)警漏洞告警在線欺詐管理科技監(jiān)測(cè)品牌保護(hù)惡意代碼告警智能情報(bào)管理流程改進(jìn)KRI/KPI/SLA運(yùn)營(yíng)管理安全報(bào)告控制選擇策略管理風(fēng)險(xiǎn)管理內(nèi)部安全咨詢資質(zhì)認(rèn)證知識(shí)管理身份與訪問管理安全意識(shí)合規(guī)平臺(tái)安全掃描安全事件管理工單系統(tǒng)審計(jì)日志調(diào)查工具工具預(yù)防監(jiān)控安全評(píng)估安全審計(jì)策略合規(guī)系統(tǒng)管理資產(chǎn)管理實(shí)時(shí)監(jiān)控欺詐檢測(cè)性能&故障監(jiān)控日志管理告警管理安全熱線響應(yīng)事件準(zhǔn)備事件識(shí)別事件牽制事件復(fù)原事件根除

事件跟進(jìn)

調(diào)查準(zhǔn)備證據(jù)獲取調(diào)查取證事件跟蹤調(diào)查分析事后分析BCP/DRP安全運(yùn)營(yíng)中心建設(shè)SOC運(yùn)營(yíng)團(tuán)隊(duì)SOC經(jīng)理第4層第3層第2層第1層經(jīng)驗(yàn)水平SOC戰(zhàn)略與方向團(tuán)隊(duì)管理與治理執(zhí)行溝通SOC提高識(shí)別和協(xié)調(diào)安全運(yùn)營(yíng)團(tuán)隊(duì)重大破壞激增支持威脅情報(bào)/活動(dòng)分析高級(jí)惡意軟件分析計(jì)算機(jī)取證事故驗(yàn)證，確定范圍事故遏制，消除和整治規(guī)劃事故通訊根本原因確定指標(biāo)收集和報(bào)告第二級(jí)事件的驗(yàn)證，范圍確定主動(dòng)日志分析/狩獵（事件間）事故協(xié)調(diào)終端現(xiàn)場(chǎng)反應(yīng)/分析基本/動(dòng)態(tài)惡意軟件分析提交第3層警報(bào)/通知的第一級(jí)分流和響應(yīng)關(guān)閉“常規(guī)”或低嚴(yán)重性事件單證創(chuàng)建并提交第2層全職員工全職資源高層職責(zé)按需資源事故響應(yīng)(浪涌)威脅情報(bào)主動(dòng)捕獲事故響應(yīng)漏洞識(shí)別事故響應(yīng)安全監(jiān)控安全運(yùn)營(yíng)中心建設(shè)項(xiàng)目分階段實(shí)施步驟任務(wù)行業(yè)調(diào)研；SOC整體頂層設(shè)計(jì)，包含架構(gòu)、管理流程、技術(shù)選型、人員能力等；現(xiàn)狀調(diào)研及成熟度評(píng)估；整體建設(shè)規(guī)劃；試點(diǎn)建設(shè)（總部一級(jí)中心及選取一個(gè)二級(jí)區(qū)域中心），包含基礎(chǔ)能力建設(shè)，SOC工具落地建設(shè)、相關(guān)運(yùn)營(yíng)流程落地建設(shè)、人員團(tuán)隊(duì)建設(shè)等；建設(shè)推廣規(guī)劃優(yōu)化?？偛恳患?jí)中心及部分區(qū)域二級(jí)中心聯(lián)動(dòng)試運(yùn)營(yíng)；其他二級(jí)區(qū)域中心建設(shè)推廣及基礎(chǔ)能力建設(shè)；運(yùn)營(yíng)團(tuán)隊(duì)建設(shè)及知識(shí)轉(zhuǎn)移；任務(wù)階段一安全運(yùn)營(yíng)中心整體設(shè)計(jì)及試點(diǎn)建設(shè)

階段

二安全運(yùn)營(yíng)中心建設(shè)推廣總部及區(qū)域中心聯(lián)動(dòng)整體試運(yùn)行；整體架構(gòu)及管理優(yōu)化；運(yùn)營(yíng)團(tuán)隊(duì)建設(shè)及知識(shí)轉(zhuǎn)移任務(wù)階段

三安全運(yùn)營(yíng)中心服務(wù)整合及優(yōu)化整體設(shè)計(jì)試點(diǎn)落地見效建設(shè)推廣布局整體覆蓋總分聯(lián)動(dòng)效益全面展現(xiàn)安永觀點(diǎn)網(wǎng)絡(luò)攻擊殺傷鏈和全覆蓋面通過分析來增加規(guī)則和指標(biāo)，以加速發(fā)現(xiàn)惡意活動(dòng)，同時(shí)減少誤報(bào)。在整條攻擊鏈中，越早察覺問題，可能造成的損失就越小。情報(bào)收集發(fā)起攻擊背景調(diào)查命令與控制權(quán)限提升數(shù)據(jù)滲漏初始攻擊建立據(jù)點(diǎn)持續(xù)攻擊企業(yè)偵察橫向移動(dòng)權(quán)限提升收集并加密數(shù)據(jù)竊取數(shù)據(jù)啟用狀態(tài)網(wǎng)絡(luò)殺傷鏈每個(gè)類別的SIEM用例數(shù)量攻擊媒介示例(MITREATT&CK)樣本攻擊檢測(cè)對(duì)策安永分析主要檢測(cè)方法主要商業(yè)技術(shù)傳統(tǒng)檢測(cè)缺陷安永網(wǎng)絡(luò)分析專注于通過自動(dòng)化和先進(jìn)的數(shù)據(jù)科學(xué)來提高分析人員的效率，從而縮短分析時(shí)間攻擊前持續(xù)權(quán)限提升防御規(guī)避憑證訪問發(fā)現(xiàn)橫向移動(dòng)執(zhí)行收集外泄命令與控制漏洞利用鉤子（Hooking）隱藏的文件和目錄調(diào)查與信息收集瀏覽器擴(kuò)展網(wǎng)絡(luò)服務(wù)掃描遠(yuǎn)程桌面協(xié)議數(shù)據(jù)集結(jié)數(shù)據(jù)壓縮自定義命令和控制協(xié)議威脅情報(bào)供給入侵檢測(cè)/防御系統(tǒng)邊界日志分析沙箱爆破網(wǎng)絡(luò)IOC監(jiān)控終端IOC監(jiān)控網(wǎng)絡(luò)IOC監(jiān)控終端IOC及日志監(jiān)控凈流量異常分析凈流量異常分析（點(diǎn)對(duì)點(diǎn)）網(wǎng)絡(luò)IOC監(jiān)控終端IOC及日志監(jiān)控文件完整性監(jiān)控凈流量異常分析網(wǎng)絡(luò)IOC監(jiān)控網(wǎng)絡(luò)IOC監(jiān)控終端IOC及日志監(jiān)控情報(bào)與監(jiān)測(cè)服務(wù)簽名、應(yīng)用程序白名單簽名、行為、應(yīng)用程序白名單簽名、行為異常和行為異常和行為異常和行為異常和行為異常和行為、應(yīng)用監(jiān)控攻擊時(shí)間范圍從初始入侵到企業(yè)檢測(cè)到網(wǎng)絡(luò)攻擊的平均時(shí)間170天幾小時(shí)到幾個(gè)月幾分鐘到幾小時(shí)幾個(gè)月到幾年無需監(jiān)督的機(jī)器自動(dòng)學(xué)習(xí)+AI模型,且基于算法。輕量級(jí)完整生態(tài)系統(tǒng)的可視化用以填補(bǔ)基于簽名和行為的傳統(tǒng)網(wǎng)絡(luò)監(jiān)測(cè)、預(yù)防能力的空白基于網(wǎng)絡(luò)釣魚的惡意軟件憑證分析沙箱非基于規(guī)則的聚集的橫向移動(dòng)憑證分析身份妥協(xié)輕量級(jí)，非PCAP滲漏入侵企業(yè)成本20%≥入侵企業(yè)成本80%≤安裝惡意組件輕視規(guī)劃和設(shè)計(jì)環(huán)節(jié)范圍界定不清楚，什么都想做好高騖遠(yuǎn)，過高的期望，理想化“Garbagein,garbageout”，數(shù)據(jù)質(zhì)量參差不齊數(shù)據(jù)之間缺乏有效關(guān)聯(lián)的手段企業(yè)內(nèi)部人員安全意識(shí)不足，執(zhí)行層推廣不易安全人員配置不足1234567SOC部署失敗的通病安永觀點(diǎn)傳統(tǒng)安全運(yùn)營(yíng)瓶頸驅(qū)動(dòng)SOC建設(shè)安全報(bào)告（可視化）為各業(yè)務(wù)部門、合規(guī)部門等高層管理者提供所關(guān)注視角的安全報(bào)告。安全運(yùn)營(yíng)與事件管理（體系化）實(shí)現(xiàn)信息安全各領(lǐng)域的綜合運(yùn)營(yíng)，提升信息事件安全運(yùn)行能力。SOC系統(tǒng)自動(dòng)化運(yùn)營(yíng)（平臺(tái)化）安全運(yùn)營(yíng)數(shù)據(jù)的自動(dòng)采集和分析，為安全運(yùn)營(yíng)提供數(shù)據(jù)支撐，促進(jìn)安全運(yùn)營(yíng)流程的落地執(zhí)行和改進(jìn)。整體安全狀態(tài)不可見安全事件處置緩慢安全設(shè)備多，日志量大，告警事件多，運(yùn)維壓力大安全運(yùn)營(yíng)的瓶頸SOC建設(shè)目標(biāo)安永觀點(diǎn) SOC建設(shè)藍(lán)圖安全報(bào)告安全運(yùn)營(yíng)與事件管理SOC工具自動(dòng)化運(yùn)營(yíng)支撐威脅情報(bào)安全監(jiān)控事件分析事件響應(yīng)補(bǔ)救處置對(duì)策安全運(yùn)營(yíng)能力1.安全運(yùn)營(yíng)狀態(tài)2.安全事件的匯總分析3.安全事件的處理情況4.各安全運(yùn)營(yíng)領(lǐng)域的具體狀態(tài)5.各安全領(lǐng)域所存在的問題6.領(lǐng)域中安全事件的具體情況7.領(lǐng)導(dǎo)重點(diǎn)關(guān)注內(nèi)容展現(xiàn)建立安全運(yùn)營(yíng)組織明確運(yùn)中心人員職責(zé)定義事件分類分級(jí)標(biāo)準(zhǔn)明確事件處理流程安全策略信息安全的組織機(jī)構(gòu)資產(chǎn)管理人力資源安全物理和環(huán)境操作安全通信安全供應(yīng)商關(guān)系加密訪問控制信息安全事件管理業(yè)務(wù)連續(xù)性的信息安全方面符合性信息系統(tǒng)獲得、開發(fā)和管理安全工具部署數(shù)據(jù)搜集規(guī)則配置事件告警安永觀點(diǎn)SOC貫穿組織各層級(jí)的安全關(guān)注領(lǐng)域投資組合狀態(tài)/健康經(jīng)濟(jì)與組織的平衡（例如：預(yù)算、人員編制等）聚合視圖信息深入董事會(huì)CISO,CIO,

其他首席層管理域負(fù)責(zé)人層面操作層面信息安全危機(jī)事件

信息安全機(jī)遇與風(fēng)險(xiǎn)趨勢(shì)信息安全投資回報(bào)率法律法規(guī)、標(biāo)準(zhǔn)等合規(guī)健康度控制（例如：補(bǔ)丁、病毒防護(hù)）控制映射（例如：NIST、ISO、網(wǎng)安法）針對(duì)不同管理域的控制（例如：身份訪問控制IAM，數(shù)據(jù)保護(hù)等）:管理域指標(biāo)特定管理域的項(xiàng)目運(yùn)營(yíng)風(fēng)險(xiǎn)（例如：事件、威脅、脆弱性）活動(dòng)狀態(tài)監(jiān)控安永觀點(diǎn)SOC集成平臺(tái)提供關(guān)鍵見解并幫助制定決策

可移動(dòng)的集成平臺(tái)–通過移動(dòng)設(shè)備實(shí)現(xiàn)可攜帶提高對(duì)風(fēng)險(xiǎn)態(tài)勢(shì)和控制差距的可視化可定制的儀表板和報(bào)表以滿足不同的報(bào)告需求對(duì)行業(yè)一致標(biāo)準(zhǔn)的理解能力對(duì)重要威脅和事件的實(shí)時(shí)洞察將安全態(tài)勢(shì)有效傳達(dá)給董事會(huì)明智的戰(zhàn)略和財(cái)務(wù)決策投資提升維持優(yōu)化管理收益:建立全面的信息安全視野將安全態(tài)勢(shì)有效傳達(dá)給高層全面安全管理平臺(tái)和管理體系網(wǎng)絡(luò)安全上升為戰(zhàn)略層面關(guān)鍵基礎(chǔ)設(shè)施信息安全防護(hù)安全運(yùn)營(yíng)中心建設(shè)收益 企業(yè)SOC構(gòu)建的效益與價(jià)值安全平衡:整合現(xiàn)有資源平衡信息化風(fēng)險(xiǎn)與便利性平衡管控與成本投資收益:更好地監(jiān)管要求合規(guī)符合性提高信息安全風(fēng)險(xiǎn)類投資的有效性提高已有安全產(chǎn)品利用價(jià)值降低信息安全事件帶來的損失時(shí)間機(jī)遇:搶先一步、快速響應(yīng)提升信息安全工作效率感知信息安全發(fā)展趨勢(shì)提早發(fā)現(xiàn)風(fēng)險(xiǎn)、預(yù)防風(fēng)險(xiǎn)能力提升:變被動(dòng)防御為主動(dòng)防御提升企業(yè)信息安全防護(hù)能力對(duì)重要威脅和事件的實(shí)時(shí)洞察風(fēng)險(xiǎn)態(tài)勢(shì)和控制差距的可視化信息安全意識(shí)升級(jí)信息安全精細(xì)化管理引入信息安全KPI信息安全預(yù)防與響應(yīng)相結(jié)合構(gòu)建SOC的效益與價(jià)值案例分享 3項(xiàng)目實(shí)施方法 安全運(yùn)營(yíng)中心設(shè)計(jì)報(bào)告設(shè)計(jì)安全指標(biāo)設(shè)計(jì)安全運(yùn)營(yíng)組織設(shè)計(jì)安全運(yùn)營(yíng)流程設(shè)計(jì)安全事件分類分級(jí)標(biāo)準(zhǔn)設(shè)計(jì)工具驗(yàn)證參考ISO27001信息安全管理體系和行業(yè)要求，設(shè)計(jì)安全運(yùn)營(yíng)報(bào)告，展示安全整體狀態(tài)。設(shè)計(jì)安全運(yùn)營(yíng)團(tuán)隊(duì)組織架構(gòu)、運(yùn)營(yíng)角色、職責(zé)分工。參考國(guó)標(biāo)及相關(guān)行業(yè)實(shí)踐，設(shè)計(jì)安全事件分類與分級(jí)標(biāo)準(zhǔn)，標(biāo)準(zhǔn)化安全事件管理。根據(jù)設(shè)計(jì)的報(bào)告頁(yè)面，設(shè)計(jì)支撐其數(shù)據(jù)的后臺(tái)指標(biāo)與對(duì)應(yīng)規(guī)則，反映每個(gè)控制域的安全狀態(tài)。設(shè)計(jì)安全運(yùn)營(yíng)流程，包括日常監(jiān)控運(yùn)維、事件響應(yīng)、事件分析和事件匯報(bào)流程。將設(shè)計(jì)的報(bào)告、指標(biāo)、流程與標(biāo)準(zhǔn)，指導(dǎo)SOC廠商開展POC測(cè)試驗(yàn)證。135264項(xiàng)目實(shí)施方法 項(xiàng)目實(shí)施步驟總覽安永會(huì)根據(jù)客戶的成熟度，為客戶規(guī)劃SOC建設(shè)的藍(lán)圖和路徑規(guī)劃，使得客戶可以根據(jù)預(yù)算情況，選擇合適的運(yùn)營(yíng)流程，逐步開展SOC的建設(shè)，并逐步應(yīng)用到客戶的場(chǎng)景，提供更多的商業(yè)價(jià)值。任務(wù)事件分類分級(jí)標(biāo)準(zhǔn)設(shè)計(jì)安全運(yùn)營(yíng)團(tuán)隊(duì)及流程設(shè)計(jì)運(yùn)營(yíng)報(bào)告設(shè)計(jì)SOC成熟度評(píng)估運(yùn)營(yíng)指標(biāo)設(shè)計(jì)安全培訓(xùn)及安全意識(shí)教育工具產(chǎn)品POCSOC工具部署運(yùn)營(yíng)中心設(shè)計(jì)實(shí)現(xiàn)運(yùn)營(yíng)團(tuán)隊(duì)建立與知識(shí)庫(kù)落地安全運(yùn)營(yíng)流程落地業(yè)務(wù)部門風(fēng)險(xiǎn)報(bào)告整體指標(biāo)和流程優(yōu)化安全事件分類標(biāo)準(zhǔn)清單安全事件分級(jí)標(biāo)準(zhǔn)清單安全運(yùn)營(yíng)中心組織架構(gòu)圖日常運(yùn)營(yíng)與事件流程SOC相關(guān)培訓(xùn)教材SOC系統(tǒng)架構(gòu)設(shè)計(jì)圖SOC運(yùn)營(yíng)指標(biāo)風(fēng)險(xiǎn)評(píng)估報(bào)告知識(shí)庫(kù)文件任務(wù)主要交付物主要交付物階段1安全運(yùn)營(yíng)中心規(guī)劃與設(shè)計(jì)

階段

2安全運(yùn)營(yíng)中心建成安全運(yùn)營(yíng)狀態(tài)總覽安全策略信息整合操作安全信息整合符合性信息整合資產(chǎn)管理信息整合信息安全事件管理信息整合通信安全信息整合定期管理層報(bào)告定期安全運(yùn)營(yíng)報(bào)告任務(wù)主要交付物階段

3安全運(yùn)營(yíng)中心業(yè)務(wù)服務(wù)項(xiàng)目實(shí)施方法 階段1-安全運(yùn)營(yíng)中心規(guī)劃與設(shè)計(jì)安全事件分類標(biāo)準(zhǔn)安全事件分級(jí)標(biāo)準(zhǔn)安全運(yùn)營(yíng)中心組織架構(gòu)日常運(yùn)營(yíng)與事件流程為實(shí)現(xiàn)安全運(yùn)營(yíng)中心的建設(shè)目標(biāo)，需要建立安全運(yùn)營(yíng)團(tuán)隊(duì)，規(guī)劃日常運(yùn)營(yíng)與事件處理流程以及安全事件分類分級(jí)標(biāo)準(zhǔn)，以SOC系統(tǒng)平臺(tái)為依托，落實(shí)到運(yùn)營(yíng)團(tuán)隊(duì)日常工作中。項(xiàng)目實(shí)施方法 階段2-安全運(yùn)營(yíng)中心建成

自動(dòng)化事件報(bào)告事件響應(yīng)流程報(bào)表展現(xiàn)與設(shè)定數(shù)據(jù)檢索與分析用戶角色管理日志接入與數(shù)據(jù)提取支持各種機(jī)器數(shù)據(jù)SOC系統(tǒng)架構(gòu)平臺(tái)功能安全運(yùn)營(yíng)中心平臺(tái)通過接收各種安全系統(tǒng)的日志數(shù)據(jù)進(jìn)行分析，將運(yùn)營(yíng)中心設(shè)計(jì)配置落地，并配合持續(xù)優(yōu)化，幫助發(fā)現(xiàn)和報(bào)告安全事件，管理事件的處理，提供直觀的安全風(fēng)險(xiǎn)態(tài)勢(shì)展示。信息處理及響應(yīng)平臺(tái)信息共享應(yīng)急響應(yīng)流程專家服務(wù)風(fēng)險(xiǎn)漏洞評(píng)估系統(tǒng)入侵檢測(cè)系統(tǒng)病毒防范系統(tǒng)主機(jī)安全事件網(wǎng)絡(luò)安全事件其它定制信息全球漏洞監(jiān)控和預(yù)警系統(tǒng)正則化/標(biāo)準(zhǔn)化處理數(shù)據(jù)過濾數(shù)據(jù)合并關(guān)聯(lián)分析實(shí)時(shí)風(fēng)險(xiǎn)分析(脆弱性驗(yàn)證)數(shù)據(jù)庫(kù)知識(shí)庫(kù)配置庫(kù)信息收集工單派發(fā)電話短信SNMP等資產(chǎn)管理合規(guī)審計(jì)圖形化呈現(xiàn)綜合處理協(xié)調(diào)分析信息收集SOC產(chǎn)品市場(chǎng)項(xiàng)目實(shí)施方法 階段3-安全運(yùn)營(yíng)中心業(yè)務(wù)服務(wù)SOC平臺(tái)整合業(yè)務(wù)資產(chǎn)信息，交易記錄，風(fēng)險(xiǎn)合規(guī)指標(biāo)，綜合分析并提供管理層及運(yùn)營(yíng)人員可視化展示。管理層報(bào)告運(yùn)營(yíng)人員工作臺(tái)關(guān)于安永安永是全球領(lǐng)先的審計(jì)、稅務(wù)、財(cái)務(wù)交易和咨詢服務(wù)機(jī)構(gòu)之一。我們的深刻洞察和優(yōu)質(zhì)服務(wù)有助全球各地資本市場(chǎng)和經(jīng)濟(jì)體建立信任和信心。我們致力培養(yǎng)杰出領(lǐng)導(dǎo)人才，通過團(tuán)隊(duì)協(xié)作落實(shí)我們對(duì)所有利益關(guān)聯(lián)方的堅(jiān)定承諾。因此，我們?cè)跒閱T工、客戶及社會(huì)各界建設(shè)更美好的商業(yè)世界的過程中擔(dān)當(dāng)重要角色。安永是指Ernst&YoungGlobalLimited的全球組織，也可指其一家或以上的成員機(jī)構(gòu)，各成員機(jī)構(gòu)都是獨(dú)立的法人實(shí)體。Ernst&YoungGlobalLimited是英國(guó)一家擔(dān)保有限公司，并不向客戶提供服務(wù)。如欲進(jìn)一步了解安永，請(qǐng)瀏覽。?20XX安永，中國(guó)

版權(quán)所有。APACno.EDMMYY本材料是為提供一般信息的用途編制，并非旨在成為可依賴的會(huì)計(jì)、稅務(wù)或其他專業(yè)意見。請(qǐng)向您的顧問獲取具體意見。/chinaEY安永|Assurance審計(jì)|Tax稅務(wù)|Transactions財(cái)務(wù)交易|Advisory咨詢安永簡(jiǎn)介4戰(zhàn)略管理咨詢風(fēng)險(xiǎn)管理咨詢安永咨詢我們擁有兩部分咨詢服務(wù)客戶管理供應(yīng)鏈管理財(cái)務(wù)管理IT戰(zhàn)略人員及組織管理財(cái)務(wù)風(fēng)險(xiǎn)管理精算服務(wù)內(nèi)審服務(wù)企業(yè)風(fēng)險(xiǎn)管理IT審計(jì)服務(wù)數(shù)據(jù)風(fēng)險(xiǎn)管理信息安全管理IT風(fēng)險(xiǎn)管理全球前十大風(fēng)險(xiǎn)管理咨詢企業(yè)為財(cái)富500強(qiáng)中75%的企業(yè)、國(guó)內(nèi)60%的上市公司提供專業(yè)服務(wù)應(yīng)用風(fēng)險(xiǎn)管理安永咨詢服務(wù)

咨詢服務(wù)總覽安永在大中華區(qū)有超過400人的IT咨詢顧問，其中在北京，上海，廣州，深圳，香港，臺(tái)灣等地更是具有專注在信息安全咨詢服務(wù)的團(tuán)隊(duì)。安永大中華區(qū)信息安全團(tuán)隊(duì)上海香港

廣州深圳北京臺(tái)北武漢安永咨詢服務(wù)

安永信息安全咨詢大中華區(qū)團(tuán)隊(duì)

安永大中華區(qū)信息安全團(tuán)隊(duì)介紹：在中國(guó)有超過150位專注于信息安全領(lǐng)域的顧問專家。安全顧問有不同的背景專長(zhǎng)，技能覆蓋信息安全的各個(gè)方面。具有5年以上工作經(jīng)驗(yàn)，且持有以下資格認(rèn)證之一的人數(shù)超過60人：CISSPCISACISMISO27001LACEHCISP安永高級(jí)安全中心(ASCs)建于2012年，在我們的咨詢服務(wù)中起著重要作用并且是業(yè)務(wù)的重要推動(dòng)力；安永ACSs掃描客戶的信息系統(tǒng)并主動(dòng)搜索所存在的脆弱性和潛在威脅；安永ACSs擁有高水準(zhǔn)的有安全評(píng)估人員能夠進(jìn)行多種系統(tǒng)的信息安全評(píng)估。安永高級(jí)安全中心(ASCs)安永發(fā)現(xiàn)的CVE零日漏洞安永的信息安全技術(shù)工具安永的網(wǎng)絡(luò)威脅情報(bào)(CTI)CVE-2012-4847:IBMCognosBusinessIntelligenceDenialofServiceVulnerabilityCVE-2011-0158:MobileSafariinAppleiOSbefore4.3doesnotproperlyimplementapplicationlaunchingthroughURLhandlers,whichallowsremoteattackerstocause